本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
媒體資安新聞一周精選
Windows爆出核彈級漏洞! Win7-Win11無一倖免:微軟緊急發布更新 Xfastest Media
ChatGPT不能用了!OpenAI宣布下月起「斷供中國」一票中企崩潰 恐遭毀滅式打擊 風傳媒
【深化Copilot技術架構,還要將Windows打造成AI開發平臺】微軟揭露年度2大AI戰略 iThome
研究人員聲稱找到可冒充微軟客服向使用者行騙的漏洞,但並未進一步透露相關細節 iThome
不見血戰爭/更會偽裝、更易造假 AI變駭客強大幫手 聯合新聞網
蘋果iOS 16公開新功能!讓用戶跳過CAPTCHA人機驗證 新頭殼
AirPods安全漏洞恐遭駭客入侵竊聽 蘋果急呼籲:快更新 tvbs新聞網
駭客稱已入侵蘋果,竊取多個工具原始碼 科技新報網
三星推Samsung Wallet 比蘋果多了加密貨幣選項 電子時報網
金管會防堵轉帳詐騙 見效 「約定轉入帳號灰名單通報平台」單月攔截1,196筆可疑交易 阻斷詐團金流 經濟日報(臺灣)
「接陌生電話會被AI蒐集聲音」是假的!LINE公佈熱門假消息排行榜單 自由時報電子報
LINE聊天室多了一道防線!新版警語功能提醒用戶留意詐騙 自由時報電子報
馬斯克成 Deepfake 受害者,用來推銷加密貨幣詐騙 科技新報網
駭客組織Void Arachne鎖定中國用戶,假借提供VPN軟體、Deepfake人工智慧工具散布惡意程式Winos iThome
⭕️延伸閱讀:讓阿湯哥真假難辨的 Deepfake 技術,是什麼?如何捍衛隱私?
駭客假借提供思科Webex視訊會議軟體,意圖散布竊資軟體Vidar Stealer iThome
惡意軟體沙箱服務業者Any.Run的員工遭到鎖定,駭客對其發動網釣攻擊 iThome
Linux惡意軟體Disgomoji鎖定印度政府機關而來,攻擊者利用表情符號來下達命令 iThome
【資安日報】6月27日,舊版瀏覽器網站相容套件Polyfill.io被中國公司買下,驚傳被植入惡意程式碼,恐影響逾10萬網站 iThome
假冒挖礦、加密貨幣竊個資!新型 Android 惡意木馬病毒現蹤用3招防範 自由時報電子報
PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
英國健保遇網攻3億筆個資流暗網 傳美FBI協同調查 中央通訊社
中國駭客攻台!70多家機構遭「紅色茱麗葉」鎖定,進攻模式為何?5大防駭工事一次看 數位時代
美國將卡巴斯基防毒軟體視為「惡意程式」宣布禁售,台灣消費者該繼續用嗎? 科技報橘
美國封殺 Kaspersky 軟體,制裁 12 名高層領導 科技報橘
勒索軟體LockBit聲稱入侵美國聯準會,竊得33 TB敏感資料,但傳出遭駭的實際上是一家銀行 iThome
駭客組織Boolka對於全球網站發動SQL注入攻擊,意圖對使用者電腦植入木馬程式Bmanger iThome
美資安公司揭露︰規模更勝以往 中國資助駭客團體 大選期間猛攻台灣 自由時報電子報
【資安日報】6月24日,北美汽車經銷商軟體服務業者CDK Global遭攻擊而停擺,傳出是勒索軟體BlackSuit所為 iThome
一家軟體廠出包,上千家汽車經銷商生意停擺,CDK 全力搶救中 科技新報網
全球資安人才缺口近400萬人 白帽駭客如何「以駭制駭」? 聯合新聞網
企業軟體漏洞多 專家:慎用開源軟體 台灣醒報
歐盟兒童保護法案要求聊天App監控用戶訊息,Signal稱可能被迫離開歐盟 iThome
未來高教 念中文系、哲學系也能變科技巨子 天下雜誌
全球掀不見血戰爭 6網攻腳本解密中國駭客 聯合新聞網
如何保護Copilot技術架構?微軟推未來安全計畫 iThome
微軟疑封鎖俄羅斯用戶下載Windows 10、11更新等軟體 iThome
微軟緊急修補因Patch Tuesday衍生的Azure Active Directory登入問題 iThome
研究證實駭客利用假冒錯誤訊息 引誘使用者點選「修復」反而執行惡意程式 網路資訊雜誌
研究人員針對微軟本月修補的Wi-Fi驅動程式漏洞提出警告,所有版本Windows都可能曝險 iThome
巴基斯坦駭客組織Cosmic Leopard鎖定Windows、macOS、安卓裝置散布惡意程式 iThome
【資安日報】6月20日,中國駭客UNC3886利用多項防火牆及虛擬化平臺的零時差漏洞隱匿行蹤,並部署後門程式持續存取網路環境 iThome
Google 前董事總經理簡立峰示警 狂賣 GPU 使用卻不足 聯合新聞網
IDC 預測:換機週期和人工智慧 PC 的出現將推動 2024 年 PC 市場微幅成長 T客邦
研究人員針對Wget漏洞提出警告,呼籲用戶近期應留意相關資安公告 iThome
企業被駭 成本轉嫁消費者 聯合報
領先業界揭露全球60%漏洞! 趨勢科技助企業防止資料外洩、降低財物損失 iThome
個資外洩的風險無所不在 運用三大方式強化供應鏈的安全性 電子時報網
日本 JAXA 遭多次網攻,機密資訊恐外流 中央通訊社
【資安日報】6月18日,初始入侵管道掮客IntelBroker聲稱握有晶片大廠AMD內部機密資料,該公司表示將著手調查 iThome
DEKRA德凱攜手趨勢科技與VicOne 打造車用資安認證整合服務 電子時報網
強化保安防護將帶動企業 5G 專網普及 科技生活
老大哥看著你 紐時:中國蒐集所有個資長保統治 中央通信社
【資安日報】2022年6月21日,駭客意圖竊取美國企業的Microsoft 365帳密、研究人員揭露新的NTLM中繼攻擊手法 iThome
Cloudflare 服務當機導致大規模網路服務中斷 點子科技
美國社交平台Reddit阻擋「網路爬蟲」蒐集資料,AI公司遭控竊取內容訓練模型如何解? 關鍵評論網
Google 推出 Project Naptime:利用大型語言模型進行自動化漏洞研究 資安人
簡立峰:GenAI商模有待商榷 GPT 5是觀察指標 電子時報
XREX集團進軍監管科技 檢警調率先試用XRAY反詐錢包查詢工具 工商時報電子報
5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊,被植入惡意指令碼iThome
Progress在6月底揭露與修補MOVEit兩個重大漏洞 iThome
Google資安證書課程大公開,在臺合作計畫鎖定跨域轉職與大學生 iThome
AI指引上路 金融業訂自律規範 金管會調查,108家業者已導入使用,主要用在:內部行政、智能客服、行銷廣告 工商時報
央行數位貨幣 7成民眾願意用 央行問卷:9成沒聽過,但了解後可接受;最擔心會留下紀錄 工商時報
駭客鎖定WordPress網站下手,目的是要脅瀏覽網站的使用者瀏覽器過舊,藉此散布惡意程式 iThome
趨勢科技在最新MITRE Engenuity ATT&CKR Evaluations評測中取得攻擊可視性100%的成績 iThome
「吃大悶虧還不知出啥狀況」科科科技上市碰壁,董座親揭統一證承銷過程 科技新報網
金管會要求3大類公司共113家 今年底前須派任資安長 自由時報電子報
2040年銷售車輛電動化 王國才:輔導業者與從業人員轉型 工商時報電子報
數位轉型5G當家 世界資安趨勢研討會聚焦物聯網防護 今日新聞
StarFab推智慧星系概念 揪指標大廠、政府機構攜手建AI創新生態系 CIO IT經理人
企業資安長搶手 資安院攜北科大開班授課 自由時報電子報
亞大趨勢科技產學合作 精進資安服務 培育資安人才 推動更多研究計畫、產出產品 滿足AI時代需求 經濟日報(臺灣)
資安院今年擬擴大培訓 助攻金融醫療領域資安人才 中央通訊社
暑期飆網全防護!凱擘大寬頻1G上網升級享連網防護與居家安全監控 IOIOTIMES
Windows爆出核彈級漏洞! Win7-Win11無一倖免:微軟緊急發布更新 Xfastest Media
該漏洞與Windows的WiFi驅動程式有關,允許攻擊者在與目標裝置連接到相同WiFi網路時,無需任何使用者互動即可遠端執行程式碼。
ChatGPT不能用了!OpenAI宣布下月起「斷供中國」一票中企崩潰 恐遭毀滅式打擊 風傳媒
ChatGPT的開發商OpenAI日前宣布,從7月9日起將停止對不支援國家和地區提供應用程式介面(API)服務,其中包括中國在內,意味著中國許多開發商再也沒有辦法倚賴ChatGPT的資料數據,恐怕將對當地許多新創產業造成毀滅性打擊。
【深化Copilot技術架構,還要將Windows打造成AI開發平臺】微軟揭露年度2大AI戰略 iThome
一是推出生成式AI助理微軟Copilot,短短1年更新了150多次,成為新一代微軟跨生產力工具的智慧小幫手。另一件事是,微軟也開始打造Copilot技術架構,提供技術資源和工具,來讓開發者打造自己的Copilot助理。甚至過去2年來,微軟聯手GitHub推出程式開發AI助理GitHub Copilot,搖身一變成為全球工程師愛用的熱門工具,光付費訂閱者就有180萬人。
研究人員聲稱找到可冒充微軟客服向使用者行騙的漏洞,但並未進一步透露相關細節 iThome
這名研究人員指出,微軟收到他的通報資料後表示,他們無法重現漏洞,即使是研究人員補充提供完整的概念性驗證(PoC)攻擊影片,該公司仍舊回覆無法完成相關驗證。對此,Vsevolod Kokorin表示決定停止繼續溝通,並公開此事,但並未透露細節,以防有人試圖利用。
不見血戰爭/更會偽裝、更易造假 AI變駭客強大幫手 聯合新聞網
微軟和OpenAI上半年發布報告,證實中國大陸、俄羅斯、北韓和伊朗5個駭客組織已將OpenAI技術用於網路攻擊,如利用ChatGPT調整攻擊程式碼等,多家資安公司都將AI列為今年資安風險關鍵字。此外,影響關鍵基礎設施的OT(運營技術)、身分偽裝也都被示警,是國家級駭客未來可能強力運用的攻擊趨勢。
蘋果iOS 16公開新功能!讓用戶跳過CAPTCHA人機驗證 新頭殼
CAPTCHA驗證是在登入網站時,決定線上用戶是不是真實人類,要求用戶要點擊有紅綠燈、腳踏車等等其他的照片。根據外媒《MacRumors》報導,蘋果即將推出的iOS 16可以讓用戶省略CAPTCHA驗證的步驟,直接進入或登入某些網站,但不是所有網站都可以跳過驗證的流程。
AirPods安全漏洞恐遭駭客入侵竊聽 蘋果急呼籲:快更新 tvbs新聞網
根據蘋果官網描述,此次發布的韌體版本為6A326、6F8,是為了要修補一項身分驗證的安全漏洞「CVE-2024-27867」;蘋果表示,當使用者的AirPods在搜尋先前已成功配對的裝置時,駭客若處在藍牙訊號的範圍內,就能假冒已配對的裝置,在取得存取耳機的權限後與AirPods連線,意味著駭客可藉此竊聽用戶的聲音。
駭客稱已入侵蘋果,竊取多個工具原始碼 科技新報網
握有上述幾個工具原始碼代表什麼?以 AppleConnect-SSO 為例,這是身分驗證系統,可讓蘋果員工存取內網特定應用程式,並與蘋果目錄服務資料庫整合,確保資源安全存取。
三星推Samsung Wallet 比蘋果多了加密貨幣選項 電子時報網
三星電子(Samsung Electronics)宣布推出三星錢包(Samsung Wallet),將旗下Samsung Pay、Samsung Pass,以及區塊鏈錢包整合進同一個App當中。將先在南韓、美國、英國、法國、德國、西班牙和義大利等市場率先推出。
金管會防堵轉帳詐騙 見效 「約定轉入帳號灰名單通報平台」單月攔截1,196筆可疑交易 阻斷詐團金流 經濟日報(臺灣)
各銀行「約定轉帳」成詐騙溫床,金管會揮刀斬詐團金流成效出爐。據金管會統計,財金公司的灰名單通報平台上線後第一個月,4月民眾赴銀行設約定轉入帳號,被關懷提問達6,170筆,經關懷後、未繼續進行約轉筆數達1,196筆,約19.4%阻斷,等於有近兩成約轉都取消了。
「接陌生電話會被AI蒐集聲音」是假的!LINE公佈熱門假消息排行榜單 自由時報電子報
「接到陌生電話不要先講話?AI會蒐集?」、「地震時先去開門、關燈、關瓦斯?」諸如此類令人感到疑惑的可疑訊息新聞,時常在網路上大量轉傳,不論是LINE聊天室群組或各大社群平台,在收到或看到任何可疑訊息的當下,謹記務必要提高警覺,先不要隨手轉傳分享,並養成第一時間透過查證服務平台辨識錯假消息的判斷能力,例如:台灣事實查核中心、MyGoPen(麥擱騙)、LINE訊息查證官方帳號、及《Cofacts真的假的》等,善用專業查核機構,讓錯假訊息、詐騙釣魚話術及不實資訊無所遁形。
LINE聊天室多了一道防線!新版警語功能提醒用戶留意詐騙 自由時報電子報
LINE是台灣民眾最常使用的通訊軟體,因此,與LINE有關的詐騙事件也層出不窮,LINE官方不斷透過各種方式提醒用戶小心陌生帳號和可疑訊息。最新推出的LINE14.9.0版本,進一步在各種介面中新增「「請留意聊天室中潛在的詐騙行為」警語,幫助用戶提高警覺。
社群平台近日流傳一份針對國軍官兵的問卷,要求官兵提供級職、任職單位等資料。國防部長表示,這是一個詐騙訊息,主要是竊取國軍官兵個資,呼籲大家不要上當。至於是否有境外勢力的操作,顧立雄坦言,現在無法排除。
馬斯克成 Deepfake 受害者,用來推銷加密貨幣詐騙 科技新報網
YouTube 23 日出現長達五小時的直播,是 Deefake 偽造的馬斯克推廣加密貨幣詐騙,雖然影片存檔已下架,但偽直播背景與特斯拉舉辦活動的現場布置十分相似,AI 產生的馬斯克聲音叫觀眾連上特定網站存入比特幣、以太幣或狗狗幣以參加贈獎活動,承諾系統將自動退還存入加密貨幣的兩倍金額。
惡意軟體沙箱服務業者Any.Run的員工遭到鎖定,駭客對其發動網釣攻擊 iThome
提供雲端沙箱測試環境的網站Any.run指出,他們全體員工在上週收到藉由內部員工發出的釣魚郵件,經調查發現,原因是其中一名員工的帳號已經外洩所致,駭客企圖利用他的帳號進行商業郵件詐騙(BEC)攻擊。
隨著數位轉型急速進展,企業面臨勒索軟體攻擊的重大挑戰。根據2024年Veeam勒索軟體趨勢報告(2024 Ransomware Trends Report),網路攻擊已對企業造成嚴重衝擊。報告指出,41%的企業資料在攻擊中受損,而僅有57%的資料能成功恢復,這不僅對企業的運作和業務連續性造成威脅,也顯示數位安全的重要性。
Linux惡意軟體Disgomoji鎖定印度政府機關而來,攻擊者利用表情符號來下達命令 iThome
駭客使用Linux惡意軟體及對應的誘餌,這樣的情況並不常見,因為,這代表對方已確認攻擊目標的工作站電腦執行Linux作業系統,才會採用這些對應的工具來犯案。而印度政府採用名為BOSS的Linux發行版部署於辦公電腦,他們研判,駭客使用的工具顯然是針對這些政府機關而來。
駭客組織Void Arachne鎖定中國用戶,假借提供VPN軟體、Deepfake人工智慧工具散布惡意程式Winos iThome
資安業者趨勢科技在今年4月初發現駭客組織Void Arachne的攻擊行動,對方的目標主要是使用簡體中文的用戶,假借提供簡體中文版Chrome,以及當地的VPN軟體LetsVPN、QuickVPN(快連VPN),甚至是使用Deepfake技術脫衣、變臉、變聲的人工智慧工具,或是Telegram簡體中文介面套件,目的是在使用者電腦植入後門程式Winos 4.0。
駭客假借提供思科Webex視訊會議軟體,意圖散布竊資軟體Vidar Stealer iThome
資安業者Trellix揭露一起散布竊資軟體的攻擊行動,駭客鎖定拉丁美洲及亞太地區的使用者,誘騙他們下載受到密碼保護的壓縮檔,這個檔案的內容,包含了遭竄改的思科Webex Meeting應用程式元件ptService.exe,一旦使用者解壓縮並執行Setup.exe,Webex Meeting就會秘密啟動惡意程式載入工具HijackLoader,從而在受害電腦植入竊資軟體Vidar Stealer。
【資安日報】6月27日,舊版瀏覽器網站相容套件Polyfill.io被中國公司買下,驚傳被植入惡意程式碼,恐影響逾10萬網站 iThome
鎖定網站而來的供應鏈攻擊頻傳,在昨天我們報導有人對上架到WordPress.org市集的外掛程式植入惡意程式碼後,有另一款熱門的網站程式庫Polyfill.io,也傳出更換經營團隊後,被植入惡意內容。
假冒挖礦、加密貨幣竊個資!新型 Android 惡意木馬病毒現蹤用3招防範 自由時報電子報
最主要目的是用於竊取用戶網路銀行的金融個資、加密貨幣錢包的密碼,並且還會從遠端遙控並攔截手機簡訊與通知訊息,進而擷取盜用顯示於受害者手機螢幕上的二階段(或稱「雙重」)驗證碼。若手機不慎安裝並下載藏有「MailBot」木馬病毒的應用程式,恐讓存放於手機上的機敏個資恐處於受駭入侵與外洩盜用的安全威脅。
英國健保遇網攻3億筆個資流暗網 傳美FBI協同調查 中央通訊社
這起影響近3500個手術和約診、衝擊大倫敦地區約7家大型醫院及其他醫療院所的網路攻擊事件被專家形容為「NHS近年最重大的病患資料外洩事件」、「英國歷來遭遇最嚴重、危害最大的網攻行動之一」。藉勒索軟體營利的俄語駭客組織「麒麟」(Qilin)20日夜間將盜取的資料公布在暗網。「麒麟」也曾攻擊美國境內的健康照護機構。
中國駭客攻台!70多家機構遭「紅色茱麗葉」鎖定,進攻模式為何?5大防駭工事一次看 數位時代
據資安公司Recorded Future旗下的情報研究部門Insikt Group指出,一個疑似中國政府支持的駭客組織「紅色茱麗葉」(RedJuliett),試圖駭入70多間台灣機構,尤其針對政府、教育、科技與外交機構進行網路偵察,其目的很可能是蒐集台灣的經濟與外交關係,以及關鍵技術開發的重要情報。
美國將卡巴斯基防毒軟體視為「惡意程式」宣布禁售,台灣消費者該繼續用嗎? 科技報橘
包含台灣在內,全世界皆擁有相當大量使用者的卡巴斯基(Kaspersky)防毒軟體,正式遭到美國政府禁售。自今年 7 月起,卡巴斯基實驗室將無法再向美國客戶銷售新產品,而 9 月之後現有美國使用者的各項支援服務也將會直接中斷。
美國封殺 Kaspersky 軟體,制裁 12 名高層領導 科技報橘
美國財政部副部長 Brian Nelson 表示,對 Kaspersky Lab 領導層的制裁乃是凸顯了政府確保網絡領域完整性和保護公民免受惡意網絡威脅的承諾。Kaspersky 發言人稱這一舉動「毫無根據且無法接受」,並表示這不會影響公司的「韌性」,因為制裁並未針對母公司或子公司,也未針對執行長 Eugene Kaspersky。該公司否認與任何政府聯繫,也否認被指定的官員與俄羅斯軍事或情報機構有任何關聯。
光是2024年上半年,新興勒索軟體如BlackSuit、Hunters International、Underground Team等,就對台灣企業發動針對性攻擊。台灣是全球科技製造重鎮,許多企業手中都握有國際大廠研發資料,這些資料含金量高,讓台灣企業成為了全球駭客眼中的肥羊。
今年2月在執法機關破獲LockBit勒索病毒集團後,趨勢科技隨後也公布LockBit完整的威脅情報,LockBit 曾經一度處於休眠狀態。這項名為 「Operation Cronos」行動於 2024 年 2 月一擊癱瘓LockBit的基礎架構、削弱營利機制、曝光LockBit加盟夥伴。
勒索軟體LockBit聲稱入侵美國聯準會,竊得33 TB敏感資料,但傳出遭駭的實際上是一家銀行 iThome
根據資安新聞網站SecurityAffair、Cybernews報導,6月24日惡名昭彰的勒索軟體駭客組織LockBit聲稱,他們駭入美國聯邦儲備系統(聯準會)的系統,竊得33 TB敏感資料,當中包含了「美國的銀行秘密」,要脅若不在期眼內付錢,將於25日公布這批資料。然而,這些駭客並未公布部分內容供買家查證,引起多名資安專家質疑,認為LockBit這麼做其實只是在虛張聲勢。
駭客組織Boolka對於全球網站發動SQL注入攻擊,意圖對使用者電腦植入木馬程式Bmanger iThome
資安業者Group-IB揭露名為Boolka的駭客組織,該組織從2022年開始,對於全球各地的網站隨機發動SQL注入攻擊,目的是針對瀏覽這些網站的使用者,散布名為Bmanager的模組化木馬程式。
日本漫畫、動畫、輕小說等日式文化出版品的巨頭角川集團,其集團網路以及知名的網路影片網站NicoNico從8日全面癱瘓至今。先前有消息傳出角川是被勒索軟體入侵,交了贖金還是無法恢復系統,遭角川集團嚴正駁斥。如今,一個俄國駭客犯罪團體27日在暗網公告說,是他們綁架了角川集團的網路,如果不付贖金,7月1日就會開始釋出角川內部的各種機密資料。
美資安公司揭露︰規模更勝以往 中國資助駭客團體 大選期間猛攻台灣 自由時報電子報
美國資訊安全情報平台「記錄未來」(Recorded Future)報告揭露,疑似由中國政府支持的駭客團體「紅色茱麗葉」(RedJuliett),在去年十一月至今年四月台灣總統大選及選後交接期間,特別針對政府、教育、科技和外交領域相關機構發動猛烈攻擊,試圖偵查、突破的台灣機關組織超過七十個,但無法得知是否成功。
【資安日報】6月24日,北美汽車經銷商軟體服務業者CDK Global遭攻擊而停擺,傳出是勒索軟體BlackSuit所為 iThome
上週北美汽車經銷商軟體服務業者CDK Global因網路攻擊而導致相關服務停擺的情況,多家汽車經銷商隨之業務受到影響,客戶被迫向其他經銷商購車而造成營業損失,如今出現新的進展。
一家軟體廠出包,上千家汽車經銷商生意停擺,CDK 全力搶救中 科技新報網
軟體公司 CDK Global 於美東時間 19 日凌晨 2 點遭遇「資安事件」,所有服務都暫停服務,這家公司的核心產品非常聚焦,就是「經銷商管理系統」,全美國上千家汽車經銷商都使用 CDK 系統,因此當「6 月節」一早,經銷商開門營業時,所有人都傻了。
全球資安人才缺口近400萬人 白帽駭客如何「以駭制駭」? 聯合新聞網
資安廠商Fortinet統計,去年亞太區共偵測到9703億次網路威脅,台灣就占超過4成,其中「漏洞利用」是常見手法之一,去年台灣偵測漏洞較2022年增加逾6成,漏洞被發現後,平均4.76天就會被駭客拿來運用。如何及早發現內部潛藏漏洞、降低被駭客攻擊的風險,成為政府機關、企業、民眾的共同難題。
企業軟體漏洞多 專家:慎用開源軟體 台灣醒報
企業軟體要健檢!叡揚資訊公司資安處經理李佳凌21日於研討會說,偵測系統已知常見漏洞(CVE),模擬駭客實施滲透測驗,都有助於企業改善資安;國家通訊傳播委員會委員孫雅麗透過實際案例指出,大眾電腦的「太陽能電站智慧監控」經安全檢驗後,發現37%的軟體存在漏洞。她呼籲,企業應慎重使用開源軟體(Open Source)。
歐盟兒童保護法案要求聊天App監控用戶訊息,Signal稱可能被迫離開歐盟 iThome
歐洲議會於2022年提出《兒童性虐待法規》(Regulation on Child Sexual Abuse,CSA),旨在打擊兒童性剝削、兒童色情的網路內容傳布。CSA當中條款要求提供私人通訊服務業者,應在其軟體中安裝名為「上傳仲裁(upload moderation)」的技術,以偵測用戶訊息中是否散布已知或新的兒童色情內容,包括提供全程加密的通訊服務。這項法規並要求,供應商必須清楚告知用戶其服務內含這類監控技術,如果用戶不同意,就無法使用其服務分享圖片或URL。
未來高教 念中文系、哲學系也能變科技巨子 天下雜誌
最近幾年,各國有些大學開始縮減、調整人文社科領域科系的規模,引起全球人才培育「重理工、輕人社」的討論。但從高教培育人才的角度而言,理工、人社應無輕重之分,如今關於跨域知識學習的討論愈來愈多,科系之間的界線也隨之模糊,學子更已意識到其重要性。
全球掀不見血戰爭 6網攻腳本解密中國駭客 聯合新聞網
趨勢科技年度網路安全報告顯示,2023年其在全球共攔截到1610億次威脅,創歷史新高,駭客組織手法更先進、有效率,攻擊也更大膽。世界經濟論壇則將網路攻擊列為今年全球第五大風險,過往是國家間灰色衝突地帶的駭客議題上半年頻浮出檯面,位居地緣政治要角的台灣,更是駭客眼中的練兵場,被微軟點名為亞太區第二大攻擊熱點。
如何保護Copilot技術架構?微軟推未來安全計畫 iThome
在今年微軟Build 2024大會上,微軟執行長Satya Nadella揭露微軟2大AI戰略:微軟Copilot技術架構和Copilot+ PC。前者的技術架構,涵蓋了AI基礎層、基礎模型層、資料層、AI調度工具層以及Copilot應用層,十分廣泛。
微軟疑封鎖俄羅斯用戶下載Windows 10、11更新等軟體 iThome
多家媒體及記者引述俄羅斯官方通訊社本周日報導,現在俄國境內已無法從微軟網站下載Windows 10和11軟體。若用戶想連結微軟網站下載,會出現「404檔案和目錄找不到的錯誤訊息」,但使用VPN則可成功下載。
微軟緊急修補因Patch Tuesday衍生的Azure Active Directory登入問題 iThome
微軟今年6月14日的Patch Tuesday似乎造成了不少問題,也於6月20日釋出緊急更新以解決無法利用Azure Active Directory(Azure AD)登入的問題,此一問題同時涉及Windows 10與Windows 11,但僅影響採用Arm處理器的Windows裝置。
研究證實駭客利用假冒錯誤訊息 引誘使用者點選「修復」反而執行惡意程式 網路資訊雜誌
ClearFake 之前已多次利用假的瀏覽器覆蓋 (overlay) 手法,誘騙用戶安裝假的瀏覽器更新植入惡意程式,或是發送電子郵件 HTML 附件以執行惡意 JavaScript。最新一波攻擊則是使用假的 Google Chrome、Microsoft Word、OneDrive 的錯誤提示。
研究人員針對微軟本月修補的Wi-Fi驅動程式漏洞提出警告,所有版本Windows都可能曝險 iThome
裝置遠端管理業者Automox在綜覽本次微軟修補的漏洞當中,希望用戶最優先注意的資安弱點,就是能被用於發動遠端程式碼執行(RCE)攻擊的CVE-2024-30078,原因是攻擊者想要觸發這項漏洞,只需要靠近目標設備就有機會達成,不需要其他特殊的存取條件,由於是透過Wi-Fi無線網路進行,攻擊者也無須實際接觸受害者的裝置。
巴基斯坦駭客組織Cosmic Leopard鎖定Windows、macOS、安卓裝置散布惡意程式 iThome
針對這波為期長達6年的攻擊行動,研究人員指出,對方起初使用RAT木馬程式GravityRAT鎖定Windows用戶,接著,為了擴大攻擊規模,他們也開發安卓版本,並在2019年針對行動裝置而來。再來,為了散布上述木馬程式,對方開發了名為HeavyLift的惡意程式載入工具,並將其用於攻擊行動,過程中運用名為GravityAdmin的管理介面來控制受害裝置。
【資安日報】6月20日,中國駭客UNC3886利用多項防火牆及虛擬化平臺的零時差漏洞隱匿行蹤,並部署後門程式持續存取網路環境 iThome
利用尚未公布的零時差漏洞發動攻擊的情況,近期有數則消息揭露,例如:中國駭客利用CVE-2022-42475入侵FortiGate防火牆,並部署難以清除的惡意程式;勒索軟體駭客組織Cardinal於微軟修補CVE-2024-26169的3個月前,就將其用於攻擊行動,但如今中國駭客組織UNC3886,他們一口氣運用4個防火牆、虛擬化平臺的漏洞,以便長時間於受害組織活動。
Google 前董事總經理簡立峰示警 狂賣 GPU 使用卻不足 聯合新聞網
輝達(NVIDIA)執行長黃仁勳旋風訪台讓台灣在AI製造供應鏈角色備受矚目,不過Google前董事總經理簡立峰昨(26)日示警,台灣對全世界賣繪圖晶片(GPU),但全國企業與新創使用的GPU數量,恐怕還不如一家美國新創公司多,AI應用發展遠遠不足,呼籲政府策略應加速扶植並創造AI應用,鼓勵台灣建立主權AI集結好的繁體中文模型。
IDC 預測:換機週期和人工智慧 PC 的出現將推動 2024 年 PC 市場微幅成長 T客邦
根據 IDC(國際數據資訊)「全球個人運算裝置季度追蹤報告」最新研究結果顯示,儘管經濟狀況有所改善,並且配備神經處理器(NPU)的新型個人電腦(俗稱人工智慧個人電腦)的出現,預期 2024 年全球傳統個人電腦市場仍將持平,出貨量將達到 2.602 億台。
研究人員針對Wget漏洞提出警告,呼籲用戶近期應留意相關資安公告 iThome
德國電腦緊急應變團隊(CERT-Bund)針對下載工具Wget的漏洞CVE-2024-38428提出警告,並一度將其CVSS風險評分評為10分,因此,有資安研究人員認為,接下來各家Linux開發商將會著手處理,用戶應留意相關公告。
企業被駭 成本轉嫁消費者 聯合報
根據IBM最新年度報告顯示,2023年全球資料外洩平均總成本達445萬美元(約新台幣1.4億元),創下此年度報告發表以來的最高金額。該報告分析來自16個國家和地區、553家組織資料被竊取案例,涵蓋17個不同行業,其中以醫療保健業損失最慘重,已連續13年高居各行業榜首。
橫跨航太、交通運輸、國防科技、安全、數位科技與服務等領域的法國電子公司Thales,近期發布2024安全研究報告,該報告調查了18個國家的37家企業中的3000多位資訊、安全專業人員。報告指出,綜觀所有安全相關支出,雲端安全支出為當今所有安全支出類別之首,將近44%的受訪者則表示其組織單位曾面臨雲端資料外洩的問題。
領先業界揭露全球60%漏洞! 趨勢科技助企業防止資料外洩、降低財物損失 iThome
趨勢科技營運長Kevin Simzer表示:「隨著商業運營、關鍵基礎設施和日常生活越來越仰賴於軟體,這些系統的安全防護變得前所未有的重要。趨勢科技Zero Day Initiative (ZDI)漏洞懸賞計畫透過積極且全面的漏洞揭露方式,同時結合我們深厚的專業知識,客戶能夠比以往更快速地受到保護。此領導地位幫助降低風險並明顯為企業降低成本花費,強化我們致力於提升全球資訊安全和支持業務連續性的承諾。」
個資外洩的風險無所不在 運用三大方式強化供應鏈的安全性 電子時報網
越來越多企業採用混合辦公模式。助遠距工作者提升辦公效率的同時,並持續優化其安全防護。全新安全解決方案專為現代辦公環境所打造。面對日益嚴峻的網路攻擊與資安威脅,您的IT團隊該如何有效抵禦無所不在的威脅將是營運關鍵。Lenovo為您提供搭載最新Intel vPro平台與Windows 11 Pro強大的裝置,內建安全、全方位端到端的安全防護,包括軟硬體、服務及運送流程,確保您裝置的安全生命週期。
日本 JAXA 遭多次網攻,機密資訊恐外流 中央通訊社
日媒報導,今天獲知日本宇宙航空研究開發機構(JAXA)2023至2024年間多次遭到網路攻擊,逾萬份檔案恐已外流,其中可能包含機密資訊。日本經濟新聞引述消息人士報導,可能外流的檔案恐超過1萬個,其中疑似包含與JAXA簽訂保密協議的外部機構有關的資訊。
【資安日報】6月18日,初始入侵管道掮客IntelBroker聲稱握有晶片大廠AMD內部機密資料,該公司表示將著手調查 iThome
晶片大廠遭駭的情況,最近幾年已有數起,例如:2020年Intel傳出遭駭,20 GB的晶片、韌體、開發工具及程式碼等機密資訊外流;2022年Nvidia遭到駭客組織Lapsus$入侵,偷走1 TB內部資料。如今,有駭客組織聲稱取得AMD內部檔案引起關注。
DEKRA德凱攜手趨勢科技與VicOne 打造車用資安認證整合服務 電子時報網
DEKRA德凱與全球網路資安解決方案領導廠商趨勢科技所新成立的車用資安公司VicOne共同宣布將攜手合作提供車用資安認證服務方案,結合雙方於車用資安的技術專業和國際法規標準的知識與認證服務,共同協助想進入電動車產業的車用供應鏈廠商,更有效率的導入並符合車用國際資安認證標準。
強化保安防護將帶動企業 5G 專網普及 科技生活
S&P Global 市場研究機構旗下的 451 Research 首席分析師 Eric Hanselman 指出:「5G 專網目前情況仍然不明朗,有三分之二的受訪者表示他們會在所屬環境的某方面用到這技術。然而在雲端保安責任共同分擔的架構下,這些企業客戶必須建立屬於自己的資訊保安能力,他們亦表示需要與資訊保安專家合作來協助他們踏上這段旅程。企業對於 5G 資訊保安有很大的期待,但其合作夥伴的質素將是成敗的關鍵。」
老大哥看著你 紐時:中國蒐集所有個資長保統治 中央通信社
紐約時報長達一年多的調查發現,中國正以前所未有的規模,蒐集數量驚人的公民個資,公安部門更在建立世界上最大的DNA數據庫。這些作法,顯示中國意圖使用科技,確保其長久的威權統治。
【資安日報】2022年6月21日,駭客意圖竊取美國企業的Microsoft 365帳密、研究人員揭露新的NTLM中繼攻擊手法 iThome
釣魚郵件攻擊的手法中,有些駭客會宣稱對方收到語音訊息,進而讓收信人上當,落入他們的圈套。最近有一起攻擊行動就是如此──駭客針對美國大型企業發動上述攻擊,目的是要竊取使用者的Microsoft 365帳號。比較值得留意的部分,是攻擊者讓收信者誤以為信件來自公司的手法,他們在寄件人的名稱裡使用受害組織的網域,而可能讓收信人不疑有他,依照指示開啟附件檔案。
Cloudflare 服務當機導致大規模網路服務中斷 點子科技
根據 Cloudflare 狀態日誌,臺灣時間 6 月 21 日下午 2 點左右,公司的網路服務出現大規模中斷。根據回報網站 Downdetector 的統計顯示,包括 Discord、NordVPN、Shopify、Fitbit、推特、《英雄聯盟》、《要塞英雄》等熱門的網路服務也受此牽連。事發一小時後,Cloudflare 表示問題已獲得解決,目前大多數服務已能正常運作。
美國社交平台Reddit阻擋「網路爬蟲」蒐集資料,AI公司遭控竊取內容訓練模型如何解? 關鍵評論網
AI發展日新月異,科技公司隨意取得網路資料用來訓練模型的情況也隨處可見,引發各界對科技發展與著作權保障間的辯論。美國知名社交平台Reddit今日表示,他們將更新網站上的「robot.txt」,防止網路爬蟲程式任意取得網站上的資料,保障使用者的隱私權。
Google 推出 Project Naptime:利用大型語言模型進行自動化漏洞研究 資安人
Google 開發了一個名為 Project Naptime 的新框架,旨在利用大型語言模型(LLM)進行漏洞研究,並且改進自動化漏洞發現的方法。Google Project Zero 的研究人員 Sergei Glazunov 和 Mark Brand 解釋道:「Naptime架構是以AI 代理和目標代碼庫之間的互動為核心。這個代理配備了一系列專門設計的工具,模仿人類資安研究人員的工作流程。」
簡立峰:GenAI商模有待商榷 GPT 5是觀察指標 電子時報
由李國鼎科技基金會、玉山科技協會、AI科技基金會,以及東南亞影響力聯盟共同合辦第一屆「國鼎論壇」26日登場。與會人士表示,以前是一顆蘋果(Apple)救台灣,但iPhone賣不動之後,對台灣供應鏈已造成影響。
XREX集團進軍監管科技 檢警調率先試用XRAY反詐錢包查詢工具 工商時報電子報
做為XRAY第一批試用的檢警調人員,刑事警察局科技犯罪防制中心主任林建隆表示:「XRAY能快速提供錢包地址的相關資訊,對於初步判斷很有幫助,若錢包住址屬於特定交易所也能顯示 其名稱,有利下一步偵查。目前批次查詢單批最高為10個錢包住址,期待XRAY增強批次的大量查詢。」
劉彥伯指出,帳號在累積一定人數後,可能會把目前群組名稱進行更換,先前加入的用戶可能就會收到來自這個帳戶傳來的詐騙訊息,比如假裝是用戶的朋友要來借錢,或者該帳號也可能被詐騙集團買下後,成為傳遞詐騙訊息的帳號之一。
5個上架到WordPress.org市集的外掛程式遭到供應鏈攻擊,被植入惡意指令碼iThome
資安業者Wordfence針對5款WordPress外掛程式用戶提出警告,指出這些外掛程式近日遭到供應鏈攻擊,它們被植入惡意程式碼並發布到官方市集,後續等用戶下載安裝之後,再藉此控制受害網站,並將其用於增加垃圾索引。
Progress在6月底揭露與修補MOVEit兩個重大漏洞 iThome
MOVEit Gateway與MOVEit Transfer存在身分認證略過的資安問題,Progress本週發布資安公告,說明漏洞成因與解決辦法,導入相關系統的企業與組織應儘快清查所用版本,若處於受影響範圍,請升級至原廠發布的新版本。
Google資安證書課程大公開,在臺合作計畫鎖定跨域轉職與大學生 iThome
在6月17日,Google宣布,將他們推動的入門級資安專業證書:「Google Cybersecurity Certificate(GCC)」課程,推廣至臺灣,並由Google台灣、數位發展部、資訊工業策進會(資策會)、臺北科技大學(北科大)共同合作,啟動這項臺灣資安人才培育計畫。
AI指引上路 金融業訂自律規範 金管會調查,108家業者已導入使用,主要用在:內部行政、智能客服、行銷廣告 工商時報
金管會正式公布「金融業運用人工智慧(AI)指引」並上路實施,明訂運用AI除要建立問責機制,也要設有可可強制介入的緊急關閉機制,運用客戶個資訓練AI時的個資搜尋範圍亦須最小化,並請各金融業公會依照指引,於1個月內訂定相關自律規範。
央行數位貨幣 7成民眾願意用 央行問卷:9成沒聽過,但了解後可接受;最擔心會留下紀錄 工商時報
中央銀行研究發行央行數位貨幣(CBDC)進度曝光,首度進行的CBDC委外問卷調查,今年4月底已完成,近期統計結果出爐,國人多不了解CBDC為何物,民眾、攤販、店家均約9成「沒聽過」;但經說明後,7成民眾表示願意使用CBDC,但最擔心使用央行數位幣會留下紀錄。
駭客鎖定WordPress網站下手,目的是要脅瀏覽網站的使用者瀏覽器過舊,藉此散布惡意程式 iThome
對方利用這款外掛程式對WordPress網站下手,將惡意程式碼注入,使用者只要瀏覽網站,就會看到彈出式視窗,「警告」已偵測到有漏洞的Chrome,要求更新瀏覽器。一旦使用者按下彈出式視窗上的按鈕,就會被重新導向惡意網址,下載惡意軟體(大部分被命名為GoogleChrome-x86.msix)。但值得留意的是,使用者就算是使用Firefox、Opera、Edge瀏覽網站,同樣會看到上述的彈式視窗。
趨勢科技在最新MITRE Engenuity ATT&CKR Evaluations評測中取得攻擊可視性100%的成績 iThome
全世界的企業都開始了解託管式偵測及回應(MDR)的價值,全球有超過3,000家企業正仰賴趨勢科技的專家來幫忙管理關鍵的資安營運工作。而MITRE Engenuity的ATT&CK® Evaluations專門模擬真實世界的進階攻擊,來評量解決方案利用已知惡意行為來偵測針對性攻擊的能力。今年年初所執行的評測主要針對國家級駭客集團menuPass(亦稱APT10)以及勒索病毒服務集團BlackCat/AlphV的攻擊戰術、技巧與程序(TTP)。
「吃大悶虧還不知出啥狀況」科科科技上市碰壁,董座親揭統一證承銷過程 科技新報網
音樂串流平台KKBOX母公司科科科技(KKCompany)在台首次公開募股(IPO),原訂6月19日掛牌,不料6月12日就宣布因合格詢圈單張數未達標,無法完成訂價,上市計畫胎死腹中,更指控承銷商統一證券失職。
金管會要求3大類公司共113家 今年底前須派任資安長 自由時報電子報
為強化公司資訊安全管理機制,金管會證期局今天表示,包括:實收資本額達新台幣100億元以上、前一年底屬臺灣五十指數成分公司及主要經營電子商務媒介商品,這三大類公司必須在今年底設置資安長,並設置資訊安全單位(包含資安專責主管及至少2名資安人員)。
2040年銷售車輛電動化 王國才:輔導業者與從業人員轉型 工商時報電子報
王國材指出,電動車已經在全球蔚為風潮,台灣很多車輛零組件產業正在轉型,台灣也在電動車供應鏈中扮演重要角色。3月底國發會公布台灣2050淨零排放路徑,因應全球淨零碳排和極端氣候衝擊。
數位轉型5G當家 世界資安趨勢研討會聚焦物聯網防護 今日新聞
第五代行動通訊網路5G商業部署在全球已如火如荼展開,而這只是5G的起手式,未來將轉型成邁向利用AI、物聯網、大數據分析等核心新興科技,而所衍生的資安風險與議題更是不容忽視。國家通訊傳播委員會(NCC)指導電信技術中心(TTC)今(21)日舉辦「5G軟體安全:超前部署、迎接挑戰 – 世界資安趨勢研討會」,探討智慧城市、物聯網、車聯網及國內外物聯網應用下,所面臨之相關資安議題。
StarFab推智慧星系概念 揪指標大廠、政府機構攜手建AI創新生態系 CIO IT經理人
全台最大產業加速器 StarFab Accelerator今年攜手政府、海內外企業與新創於南港展覽2館舉辦的國際指標新創大展InnoVEX中,以六大智慧星系打造AI主題館。在本月4日的開幕活動中,更邀集產業界公協會及國際知名大廠與新創團隊匯聚主題館接棒分享,共同探索AI應用與發展,尋找產業走入國際供應鏈的機會!
企業資安長搶手 資安院攜北科大開班授課 自由時報電子報
資安院表示,去年與北科大共同辦理國內首屆資安長高階領導班,獲得學員正面的評價與肯定,顯示市場對於資安長職務有相當的需求。資安長在人力市場突然變得非常搶手,主因是金管會要求上市櫃公司,應配置資訊安全主管及資訊安全人員。
亞大趨勢科技產學合作 精進資安服務 培育資安人才 推動更多研究計畫、產出產品 滿足AI時代需求 經濟日報(臺灣)
亞洲大學與全球網路資訊安全領導廠商趨勢科技,日前簽訂產學合作交流,亞大校長蔡進發說,「亞大資安研究中心」會全力配合趨勢科技的需求與指導,在教學、研究和產學服務方面精進。代表簽約的趨勢科技執行長陳怡樺表示,希望雙方合作,面對AI時代,培育資安人才,為產業資安提供更精進服務。
資安院今年擬擴大培訓 助攻金融醫療領域資安人才 中央通訊社
國家資通安全研究院今天透過新聞稿指出,資安長變得非常搶手,源自金管會2021年12月28日修正「公開發行公司建立內部控制制度處理準則」並發布相關令釋,要求上市櫃公司依實收資本額大小等相關規範,應在2023年底前配置資訊安全主管與資訊安全人員。
暑期飆網全防護!凱擘大寬頻1G上網升級享連網防護與居家安全監控 IOIOTIMES
光纖上網新用戶申辦 1G 上網指定方案,就能免費使用趨勢上網防護服務;既有用戶加辦可享前 3 個月只要 99 元優惠價,在家安心上網,遠離網路詐騙。居家監控網路攝影機可讓家長或晚輩透過專屬 App 觀看家中即時影像,隨時隨地掌握屋內小孩、老人或寵物動態及門戶安全,即使不在家也能顧好家。
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文 ☺️⭕️ 訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!